您的智能家居是否面临物联网漏洞的风险?

物联网安全吗?你希望如此,但最近的一项研究强调,几年前提出的安全问题尚未得到解决。你的智能家居可能会有风险。...

物联网有着巨大的前景。我们与之交互的每一台设备都具备一定的网络功能,为每个人带来了廉价的智能家居技术。这只是其中一种可能性。嗯,不幸的是,就像一个完全网络化的世界听起来一样令人兴奋,物联网始终是非常不安全的。

iot-vulnerabilities

普林斯顿大学的一组安全研究人员认为,物联网非常不安全,即使加密的网络流量也很容易识别。

他们的说法是否有实质内容,还是另一个“标准”物联网热门作品?我们来看看。

烘烤

问题是,每个设备都有各自的安全配置文件。一些安全设置也会被放入设备中。这意味着最终用户无法更改安全设置。

对上千个匹配产品相同的设置。

你可以看到这是一个巨大的安全问题。

再加上一个普遍的误解(或者是完全的无知?)至于将物联网设备用于邪恶活动有多容易,这是一个现实的全球性问题。

例如,一位安全研究人员在与Brian Krebs交谈时转述说,他们曾目睹安全性不高的互联网路由器被用作SOCKS代理,并公开发布广告。他们推测,使用基于互联网的网络摄像头和其他物联网设备也很容易达到同样的目的,还有许多其他目的。

他们是对的。

2016年底发生了大规模DDoS攻击。”“巨大的,”你说?是:650 Gbps(约为81 GB/s)。Imperva的安全研究人员通过有效载荷分析发现,大部分电力来自受损的物联网设备。它以有效载荷中的一个字符串命名为“Leet”,是第一个与Mirai(针对著名安全研究人员和记者Brian Krebs的庞大僵尸网络)竞争的物联网僵尸网络。

物联网嗅探

普林斯顿大学的研究论文名为《智能家庭不是城堡》(A Smart Home is No Castle)[PDF],探讨了“被动网络观察者,如互联网服务提供商,可以潜在地分析物联网网络流量以推断用户的敏感细节”的想法。研究人员Noah Apthorpe、Dillon Rei**an和Nick Feamster研究了“感知睡眠监视器,一个Nest Cam室内安全摄像头,一个WeMo开关和一个Amazon Echo。”

他们的结论?来自每个设备的流量指纹都是可识别的,即使是加密的。

  • NestCam——观察者可以推断出用户何时在主动监视一个进给,或者摄像机何时在其视野中检测到运动。
  • 感知——观察者可以推断用户的睡眠模式。
  • WeMo——观察者可以检测智能家居中的物理设备何时打开或关闭。
  • Echo——当用户与智能个人助理交互时,观察者可以检测到。

访问数据包

普林斯顿的论文假设攻击者直接从ISP嗅探(截获)数据包(数据)。他们的分析直接来自数据包元数据:IP数据包头、TCP数据包头和发送/接收速率。不管拦截点是什么,如果您可以访问转换中的数据包,就可以尝试解释数据。

研究人员采用了三步策略来识别连接到临时网络的物联网设备:

  1. 将流量分成数据包流。
  2. 按设备类型标记流。
  3. 检查交通流量。

此策略显示,即使一个设备与多个服务通信,潜在的攻击者“通常只需要识别编码设备状态的单个流”。例如,下表说明了与映射到特定设备的每个流相关联的DNS查询。

dns queries internet of things sniffing

研究结果依赖于几个假设,有些是特定于设备的。Sense sleep monitor的数据假设用户“只在睡觉前立即停止使用他们的设备,家中的每个人都在同一时间睡觉并且不共享他们的设备,并且用户在睡觉时不会让其他设备运行以执行网络密集型任务或更新。”

加密和结论

BII估计,到2020年,将有240亿台物联网设备上线。Open Web Application Security Project(OWASP)的顶级IoT漏洞列表[断开的URL已删除]如下所示:

  1. 不安全的web界面。
  2. 身份验证/授权不足。
  3. 不安全的网络服务。
  4. 缺少传输加密。
  5. 隐私问题。
  6. 云接口不安全。
  7. 不安全的移动接口。
  8. 安全配置不足。
  9. 软件/固件不安全。
  10. 人身安全性差。

OWASP在2014年发布了这一名单——此后就再也没有更新过,因为漏洞保持不变。而且,正如普林斯顿大学的研究人员所报告的那样,令人惊讶的是,一个被动网络观察者能如此容易地推断出加密的智能家庭流量。

data patterns internet of things sniffing

面临的挑战是部署集成的物联网VPN解决方案,甚至让物联网设备**商相信更多的安全性是值得的(而不是必须的)。

一个重要的步骤是区分设备类型。一些物联网设备天生就对隐私更敏感,比如集成医疗设备和亚马逊Echo。该分析仅使用加密流量的发送/接收速率来识别用户行为——不需要深入的数据包检查。另外,虽然额外的集成安全功能可能会对物联网设备性能产生负面影响,但**商有责任为最终用户提供某种表面上的安全保护。

物联网设备越来越普及。隐私关系问题的答案并不容易得到,像这样的研究完美地说明了这些担忧。

您是否欢迎智能家居和物联网设备进入您的生活?看过这项研究后,你是否担心自己的隐私?您认为**商应该在每个设备上安装什么样的安全措施?下面让我们知道你的想法!

  • 发表于 2021-03-14 05:51
  • 阅读 ( 165 )
  • 分类:互联网

你可能感兴趣的文章

肮脏的奶牛脆弱性:你需要知道的一切,以保持安全

...都发布了相应的补丁。因此,如果您还没有,请确保更新您的Linux内核。 ...

  • 发布于 2021-03-11 18:42
  • 阅读 ( 411 )

有没有电脑没有受到熔毁和幽灵病毒的影响?

...年里,英特尔和AMD处理器的核心存在着熔毁或幽灵漏洞,您的计算机是否面临风险?可能。更大的问题是,你下一步该怎么做? ...

  • 发布于 2021-03-11 21:27
  • 阅读 ( 294 )

5个在线威胁可能会毁掉你的raspberry pi体验

... 还有物联网和家庭自动化项目,甚至是与OpenHAB的全面智能家居集成。自定义编码的应用程序可能会完成特定的任务,但它们是否(可能)使黑客能够访问您的Raspberry Pi? ...

  • 发布于 2021-03-12 17:34
  • 阅读 ( 271 )

你正面临着被怪物攻击的危险:你需要知道的一切

...路由器和无线设备之间的通信,从而确保没有人可以监视您的行为或向传输中注入恶意代码。 ...

  • 发布于 2021-03-12 18:39
  • 阅读 ( 220 )

物联网带来医疗保健革命的5种方式

...数据发送到一个配套的应用程序,该应用程序将通知用户是否应该进行目视足部检查,改变他们的海岸,减少体力活动或看医生。 ...

  • 发布于 2021-03-14 01:47
  • 阅读 ( 223 )

办公室里你的安全受到威胁的5种方式

... 大多数人希望在办公室工作时安全。您只需假设您的IT团队有足够的能力确保您和您的数据的安全。可悲的是,事实并非如此。即使你足够幸运,有国内最好的IT团队支持你,你仍然可能面临风险。 ...

  • 发布于 2021-03-14 18:42
  • 阅读 ( 218 )

智能家居黑客:如何设置你的设备以保持安全

当你想到智能家居黑客,你可能不会想到汉堡王。事实上,你可能根本不会想到智能家居黑客攻击。为什么会有人想进入你的恒温器或门铃? ...

  • 发布于 2021-03-14 18:44
  • 阅读 ( 233 )

现在检查你的互联网设备是否对黑客开放

...的在线工具。它扫描任何互联网连接的设备或网络,看看是否有任何漏洞,可以被利用,以获得对上述设备或网络的访问。 ...

  • 发布于 2021-03-17 03:42
  • 阅读 ( 156 )

关于5g安全风险,您需要了解

... 由于这些不是强制性的,每个无线运营商必须自行决定是否开启这些保护。我们希望大多数航空公司会选择这样做。但是,承运人没有义务使用这些保护措施。 ...

  • 发布于 2021-03-18 10:06
  • 阅读 ( 164 )

黑客威胁医疗物联网设备:以下是如何保证它们的安全

...好主意。您希望确保没有人有机会亲自或通过互联网干扰您的设备。最好的方法是随身携带设备或在不使用时将其锁在安全的地方。 ...

  • 发布于 2021-03-20 04:51
  • 阅读 ( 169 )
洛洛晨
洛洛晨

0 篇文章

相关推荐